Инжекция SQL, дефект стандартного программного обеспечения, как находили, была первопричиной в нарушении VTech.VTech Holdings теперь признается в по крайней мере одной из первопричин позади нарушения, которое представило информацию о миллионах детей и родителей.
В обновлении Часто задаваемых вопросов (FAQ) о нарушении 1 декабря, VTech теперь признает, что его безопасности базы данных недоставало.«К сожалению наше Приобретение знаний Подает, базы данных Kid Connect и PlanetVTech не были так безопасны, как они должны были быть», заявил VTech. «После обнаружения нарушения мы сразу осуществили всестороннюю проверку затронутого сайта и приняли полные меры против будущих нападений.
Весь другой VTech онлайновые системы не был затронут».Слабость базы данных связана с классом уязвимости системы обеспечения безопасности, известной как инжекция SQL.
Инжекция SQL не является новым классом уязвимости, как это было сначала публично обсуждено назад в 1998 исследователем в области безопасности Джеффом Форристэлом. В видео интервью 2013 года Форристэл сказал, что не был удивлен, что инжекция SQL является все еще общей уязвимостью, которая широко использована.«Не удивительно, что этот [VTech] нарушение произошло бы посредством инжекции SQL, как это среди наиболее распространенных и угрожающих веб-дефектов», сказал Крэйг Янг, исследователь кибербезопасности в Растяжке, eWEEK.
Янг объяснил, что инжекция SQL является одним из самых распространенных веб-дефектов безопасности, в которых атакующий в состоянии изменить значение команд, переданных к серверу базы данных. Это возможно, когда данные от Веб-запроса непосредственно используются для построения базы данных (SQL) запрос, не заменяя небезопасные символы. Он отметил, что сложные инструменты существуют для автоматизации процесса нахождения и использования дефектов инжекции SQL, включая инструмент, известный как SQLmap, который позволяет даже атакующим низкой квалификации получить обширный доступ в систему.Так как уязвимости инжекции SQL часто предоставляют прямой доступ к базе данных бэкэнда через Веб-сайт фронтэнда, не удивительно, что дефект инжекции SQL был первопричиной в нарушении VTech, сказал Тод Бердслей, научный руководитель в Rapid7.
«Украденные данные, вероятно, хранились в базе данных, которая имела прямолинейное отношение с Веб-сайтом фронтэнда», сказал Бердслей eWEEK. «Конечно, атакующий, возможно, использовал инжекцию SQL для возвращения к базам данных, которые непосредственно не подключены к Интернету, но это, кажется, не имеет место в этом экземпляре».Бердслей добавил, что риск утечки данных экспоненциально увеличивается, когда фотографии, журналы чата или любой тип данных доступны через фронтэнд Веб-сайта.«Организации могут начать защищать себя и их клиентов, только собрав данные, который фактически необходим, и упрощающий для клиентов рассматривать и обычно удалять хранившие данные», сказал Бердслей.Это – также хорошая идея для организаций для ограничения риска инжекции SQL во-первых.
Программисты только должны использовать параметризованные запросы для срыва попыткам инжекции SQL полностью, по словам Янга.«Этот метод позволяет механизму базы данных знать точно, как ввод был предназначен, чтобы использоваться таким образом, что нет фактически никакого риска его неправильно истолковываемый», сказал он.Шон Майкл Кернер является главным редактором eWEEK и InternetNews.com.
Следуйте за ним в Твиттере @TechJournalist.